使用 DB-API 风格绑定参数执行 SQL 语句

本文档旨在指导读者如何在 sqlAlchemy 中使用 DB-API 风格的绑定参数执行 SQL 语句，特别是针对 sqlalchemy.exc.ArgumentError: List argument must consist only of tuples or dictionaries 错误的解决方案。我们将通过示例代码演示如何正确地传递参数，并提供一些注意事项，以确保 SQL 语句的安全执行。

在使用 SQLAlchemy 执行 SQL 语句时，有时需要使用绑定参数来防止 SQL 注入，并提高代码的可读性和可维护性。当遇到 sqlalchemy.exc.ArgumentError: List argument must consist only of tuples or dictionaries 错误时，通常是由于参数传递的方式不正确导致的。

下面将介绍如何使用 exec_driver_sql 方法来解决这个问题。

问题描述

在使用 SQLAlchemy 执行 delete 语句，并尝试使用绑定参数删除早于指定日期的日志时，可能会遇到上述错误。例如，以下代码：

from datetime import datetime, timedelta  import sqlalchemy  db_con_string = 'Driver={ODBC Driver 17 for SQL Server};Server=tcp...' connection_url = sqlalchemy.engine.URL.create("mssql+pyodbc",                                               query={"odbc_connect": db_con_string}) engine = sqlalchemy.create_engine(connection_url)  with engine.begin() as sql_conn:     command = 'delete myschema.Logs where [DateTimeSent] < ?'     params = ((datetime.utcnow() + timedelta(days=-90)), )     sql_conn.execute(sqlalchemy.sql.text(command), params)

这段代码会抛出 sqlalchemy.exc.ArgumentError 异常。

解决方案

解决此问题的方法是使用 exec_driver_sql 方法，该方法允许直接使用 DB-API 风格的参数绑定。

修改后的代码如下：

from datetime import datetime, timedelta  import sqlalchemy  db_con_string = 'Driver={ODBC Driver 17 for SQL Server};Server=tcp...' connection_url = sqlalchemy.engine.URL.create("mssql+pyodbc",                                               query={"odbc_connect": db_con_string}) engine = sqlalchemy.create_engine(connection_url)  with engine.begin() as sql_conn:     command = 'delete myschema.Logs where [DateTimeSent] < ?'     params = (datetime.utcnow() + timedelta(days=-90), )  # Corrected params     sql_conn.exec_driver_sql(command, params)

代码解释

1. exec_driver_sql 方法: sql_conn.exec_driver_sql(command, params) 允许你直接使用 DB-API 驱动程序提供的参数绑定机制。
2. 参数格式: params 变量应该是一个元组，其中包含要传递给 SQL 语句的参数。在此示例中，我们将 datetime 对象作为参数传递。注意，这里将 params 修改为一个包含 datetime 对象的元组 (datetime.utcnow() + timedelta(days=-90), )。

注意事项

• SQL 注入: 始终使用参数绑定来防止 SQL 注入攻击。不要直接将用户输入拼接到 SQL 语句中。
• 数据库驱动: 确保你使用的数据库驱动程序支持 DB-API 风格的参数绑定。不同的数据库驱动程序可能对参数绑定的语法有不同的要求。
• 数据类型: 确保传递给 SQL 语句的参数类型与数据库列的类型匹配。例如，如果数据库列是 datetime 类型，则应该传递 datetime 对象。
• SQLAlchemy 版本: 该方法在 SQLAlchemy 2.0 及更高版本中适用。

总结

当在使用 SQLAlchemy 执行 SQL 语句时遇到 sqlalchemy.exc.ArgumentError 错误，并且涉及到参数绑定时，可以尝试使用 exec_driver_sql 方法。确保正确地格式化参数，并始终注意防止 SQL 注入。通过遵循这些步骤，可以更有效地使用 SQLAlchemy 执行 SQL 语句，并提高代码的安全性。